[fw-wiz] rpc.statd message log
From: Robert E. Martin (rmartin@fishburne.org)
Date: 04/24/03
- Previous message: Strydom, Willie: "RE: [fw-wiz] RE: PIX Version 6.1.3"
- Next in thread: Devdas Bhagat: "Re: [fw-wiz] rpc.statd message log"
- Reply: Devdas Bhagat: "Re: [fw-wiz] rpc.statd message log"
- Reply: R. DuFresne: "Re: [fw-wiz] rpc.statd message log"
- Maybe reply: Melson, Paul: "RE: [fw-wiz] rpc.statd message log"
- Maybe reply: Robert E. Martin: "Re: [fw-wiz] rpc.statd message log"
- Maybe reply: Melson, Paul: "RE: [fw-wiz] rpc.statd message log"
- Messages sorted by: [ date ] [ thread ] [ subject ] [ author ] [ attachment ]
From: "Robert E. Martin" <rmartin@fishburne.org> To: firewall-wizards@honor.icsalabs.com Date: Thu, 24 Apr 2003 12:05:03 -0400
I found this in my /var/log/messages log ........
Apr 21 11:07:01 fms rpc.statd[1010]: gethostbyname error for
^X÷ÿ¿^X÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%62716x%hn%51
859x%hn\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22
0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\
220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\22
0\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
I believe that the machine has been compromised, but do not find any
trace using cert.org recommended Intruder Detection Checklist. I have
stopped the rpc.statd service, since we don't use this at ALL!
http://www.kb.cert.org/vuls/id/34043
Any thoughts? Anyone?
-- Robert E Martin IT Manager Fishburne Military School rmartin@fishburne.org 540.946.7726 _______________________________________________ firewall-wizards mailing list firewall-wizards@honor.icsalabs.com http://honor.icsalabs.com/mailman/listinfo/firewall-wizards
- Previous message: Strydom, Willie: "RE: [fw-wiz] RE: PIX Version 6.1.3"
- Next in thread: Devdas Bhagat: "Re: [fw-wiz] rpc.statd message log"
- Reply: Devdas Bhagat: "Re: [fw-wiz] rpc.statd message log"
- Reply: R. DuFresne: "Re: [fw-wiz] rpc.statd message log"
- Maybe reply: Melson, Paul: "RE: [fw-wiz] rpc.statd message log"
- Maybe reply: Robert E. Martin: "Re: [fw-wiz] rpc.statd message log"
- Maybe reply: Melson, Paul: "RE: [fw-wiz] rpc.statd message log"
- Messages sorted by: [ date ] [ thread ] [ subject ] [ author ] [ attachment ]
